Who is norppa.io for?

norppa.io is for any EU company that needs to demonstrate NIS2 supply chain security — from small businesses responding to a customer audit request to compliance teams at larger organisations. No prior security expertise needed: add a domain name and you are monitoring within minutes. Supply chain vendors also use norppa.io to monitor their own posture — seeing the exact signals their NIS2-obligated customers assess, and fixing exposures before a customer flags them.

What is included in supply chain monitoring?

Each supplier domain is checked across 100+ automated checks daily, with ransomware and dark-web monitoring every 6 hours: ransomware victim lists, dark web infostealer credential leaks, TLS/certificate health, DNS integrity and DNSSEC, MX blacklist status, cookie security flags, robots.txt path exposure, email security posture (SPF/DKIM/DMARC), IP geolocation, CVE/EPSS vulnerability exposure, breach database exposure, security.txt presence, post-quantum TLS readiness (NIST FIPS 203), Model Context Protocol exposure, JavaScript bundle secret scanning, and AI vendor inventory for EU AI Act Art. 26. Your own domain additionally receives a monthly external security assessment — exposed port and service risks, known vulnerability exposure, and TLS/SSL configuration weaknesses. No agents to install, no access to your infrastructure required.

How does NIS2 compliance reporting work?

Every finding is automatically mapped to the relevant NIS2 article — Art. 21(2)(d) supply chain, Art. 21(2)(h) cryptography, Art. 21(2)(i) credentials, Art. 23 incident reporting. Monthly PDF includes an executive summary, NIS2 compliance score, per-article breakdown and remediation actions.

Where is data stored?

All customer data is stored on EU-jurisdiction infrastructure in Finland and Germany. No data ever leaves the EU. GDPR compliant by architecture.

Monitoraggio NIS2 automatizzato della supply chain

Sapere quando un fornitore o il proprio dominio diventa un rischio. Ogni giorno.

Aggiungete un dominio fornitore e ricevete oltre 100 controlli automatici al giorno — salute DNS/TLS, sanzioni, dati di violazione e altro — più monitoraggio ransomware e dark web ogni 6 ore. Ogni rilievo mappato su NIS2 Art. 21. Report PDF mensile incluso. Nessun agente, nessun progetto IT.

Prova gratuita — senza carta Visualizzate i prezzi

Novità 2026TLS post-quantistico · Esposizione MCP / agenti IA · Regolamento UE sull'IA

Panoramica della catena di fornitura

Aggiornato 2 ore fa

81/100

Punteggio di conformità NIS2

3 fornitori monitorati

Fornitori

Nordic Systems AB

Rischio basso

Helsinki Tech Oy

Rischio basso

Acme Oy

Rischio alto

Critico: credenziali Infostealer rilevate

Acme Oy — 4 ore fa

Nuovo

Oltre 100 controlli automatizzati al giorno · ransomware e dark web ogni 6 ore

Ransomware · Dark web · DNS/TLS · Sicurezza HTTP · Dati di violazioni · Intelligence aziendale · Repository di codice · Identità & frode via e-mail aziendale · Esposizione AI

Rilievi mappati agli articoli NIS2

Azienda UE · Dati ospitati nell'UE — Finlandia + Germania · GDPR by design

Dashboard, report e questionari ai fornitori in 8 lingue dell’UE

Incluso nell'abbonamento

Cosa ricevete come abbonati

Nessuno sforzo manuale, nessuna integrazione — aggiungete un dominio e norppa.io si occupa del resto.

Monitoraggio automatizzato quotidiano

Ogni fornitore viene verificato automaticamente ogni giorno. Aggiungete un fornitore in 30 secondi — nessuna pianificazione, nessuna revisione manuale, nessun follow-up richiesto.

Avvisi immediati per eventi critici

Inclusione in elenco vittime ransomware, fuga attiva di credenziali, certificato in scadenza — ricevete un avviso e-mail lo stesso giorno in cui viene rilevato. Non settimane dopo.

Report di conformità mensile — pronto all'uso

Un report PDF generato automaticamente con riepilogo esecutivo AI, punteggi NIS2 per articolo e un elenco di azioni correttive prioritizzate. Ogni ciclo di monitoraggio viene registrato — fornendo un registro continuo e documentato della vostra supervisione della supply chain.

Verificato, non solo raccolto

Le risposte al questionario del fornitore vengono verificate in modo incrociato con ciò che osserviamo — verificate, contraddette o chiaramente contrassegnate come sola attestazione. I rilievi incerti vengono segnalati come possibili falsi positivi, così il vostro team agisce sul reale, non sul rumore.

Costruito per l’UE — 8 lingue

Dashboard, report mensili e questionari ai fornitori in otto lingue dell’UE. Servite e valutate i fornitori in tutta Europa nella loro lingua.

Scoprite come appare il report

Vedete i vostri primi rilievi NIS2 oggi.

Inserite la vostra email aziendale — scansioniamo il vostro dominio automaticamente e vi inviamo un link di accesso. Nessuna password, nessuna carta, nessuna configurazione.

Principali aree di rischio esterne coperte — esposizione tecnica, dark web, registri delle imprese e vulnerabilità attivamente sfruttate.

Quotidianamente per ogni fornitore monitorato. Nessun agente, nessuna integrazione.

Controlli di sicurezza tecnici

Certificati TLS, integrità DNS (SPF/DKIM/DMARC/DNSSEC), intestazioni di sicurezza HTTP, applicazione HTTPS, rischio di spoofing e-mail (MTA-STS, BIMI, BEC composito), scoperta di sottodomini, servizi esposti e porte aperte, rilevamento di modifiche ai siti web, security.txt, rilevamento di infrastrutture di phishing AiTM, validazione dell'origine di route RPKI/BGP, analisi di repository di codice pubblici (GitHub/GitLab, npm, Docker Hub) e rischio nella supply chain di quarto livello. Mappato a NIS2 Art. 21(2)(e)(h)(i).

Intelligence dark web

Monitoraggio quotidiano del dark web — se le credenziali dei dipendenti del vostro fornitore circolano nei mercati del dark web, ricevete un avviso per poter indagare e rispondere. Mappato a NIS2 Art. 21(2)(b).

Tracciamento delle vittime di ransomware

Più feed di intelligence sul ransomware verificati quotidianamente contro tutti i vostri fornitori. Gruppi di minacce attivi tracciati quotidianamente. Avviso e-mail immediato se un fornitore appare in un elenco di vittime. Mappato a NIS2 Art. 21(2)(b).

Certificati e infrastruttura

Certificati TLS, salute DNS, DNSSEC, sicurezza e-mail (SPF/DKIM/DMARC), servizi esposti e scoperta di sottodomini monitorati quotidianamente. Avviso e-mail quando un certificato scade entro 14 giorni.

Monitoraggio di violazioni ed esposizioni

Database di violazioni, siti paste e esposizione delle credenziali verificati quotidianamente. Sapete se gli account o i dati dei vostri fornitori sono apparsi in fughe pubbliche — prima che diventi un vostro problema.

Monitoraggio indirizzi IP

Monitorate gli IP e gli intervalli CIDR dei fornitori che non sono dietro un dominio principale — gateway VPN, relay di posta, host dedicati. Rilevamento di esposizione CVE (Shodan / CISA KEV), avvisi paesi ad alto rischio, classificazione hosting condiviso. Incluso per fornitore in ogni piano. Mappato all'inventario asset della catena di fornitura NIS2 Art. 21(2)(d).

Rilevamento rischi identity provider e BEC

Identifica automaticamente il provider di identità utilizzato da un fornitore (Entra ID, ADFS, Okta), rileva configurazioni di identità federata con rischio BEC elevato e segnala endpoint SSO esposti pubblicamente. Correla con dati infostealer per generare un punteggio di rischio BEC composito. Mappato su NIS2 Art. 21(2)(i)(j).

Esposizione di strumenti AI e API LLM

Scopre strumenti di sviluppo AI esposti (Jupyter, Streamlit, Gradio, Ollama), endpoint API pubblici compatibili con OpenAI e dipendenze HuggingFace Spaces — incluse potenziali fughe di segreti. Queste esposizioni sono invisibili agli strumenti EASM tradizionali. Mappato su NIS2 Art. 21(2)(a)(e).

Intelligence aziendale

Stato del registro delle imprese incluso il rilevamento di fallimento e liquidazione, registrazione LEI/GLEIF e rilevamento di scadenza, controllo delle sanzioni (UE, OFAC, ONU), validazione IVA, modifiche al registrar di dominio e ai server dei nomi — verificati quotidianamente. Direttamente mappato ai requisiti NIS2 Art. 21(2)(d).

Novità 2026

Preparazione TLS post-quantistica

NIST FIPS 203 (ML-KEM) è diventato lo standard crittografico ad agosto 2024. Identifichiamo il CDN / edge provider di ogni fornitore e segnaliamo quelli che non utilizzano ancora il TLS ibrido post-quantistico — Cloudflare, Fastly e AWS CloudFront lo distribuiscono per impostazione predefinita; Akamai, BunnyCDN e gli origini diretti tipicamente ancora no. «Harvest now, decrypt later» è una minaccia reale per dati sensibili a lunga durata. Mappato su NIS2 Art. 21(2)(h).

Novità 2026

Esposizione di endpoint MCP / agenti AI

I server Model Context Protocol pubblici sono la superficie d'attacco del 2026: BlueRock ha rilevato che il 36,7 % di 7.000 server MCP esaminati erano vulnerabili a SSRF, CVE-2025-6514 ha trasformato 437.000 installazioni mcp-remote in backdoor nella supply chain. Rileviamo /.well-known/mcp, /mcp, /sse e l'inventario fornitori AI — l'unico strumento TPRM che lo fa. Mappato su NIS2 Art. 21(2)(e) e EU AI Act Art. 26.

Novità 2026

Esportazioni NIS2 + DORA pronte per l'audit

Esportazioni CSV con un clic per l'audit NIS2 (12 mesi di rilievi mappati per articolo, decisioni di rischio, notifiche fornitori, certificazioni) e Registro delle Informazioni DORA UE (Regolamento di Esecuzione 2024/1773 Allegato III B_02.03 + B_05.01). Colonne norppa.io più campi allineati a DORA RTS pronti per il foglio di lavoro del vostro team compliance — per soggetti finanziari sottoposti a DORA.

Prove di conformità NIS2

Ogni rilievo viene automaticamente mappato all'articolo NIS2 corrispondente — Art. 21(2)(d) supply chain, Art. 21(2)(h) crittografia, Art. 21(2)(j) controllo degli accessi, Art. 23 segnalazione degli incidenti. Rapporto PDF mensile per il management e i revisori.

Componente aggiuntivo Full Scan mensile

Una volta al mese, norppa.io esegue una valutazione di sicurezza esterna completa del vostro dominio — porte e servizi esposti, vulnerabilità CVE note (classificate EPSS), debolezze della configurazione TLS, intestazioni di sicurezza HTTP ed esposizione dei sottodomini. Interamente da internet pubblico, senza accesso alla vostra infrastruttura. Conferma inoltre attivamente le vulnerabilità segnalate passivamente durante il monitoraggio quotidiano, elevandole da «potenziali» a verificate. Tutti i rilievi inclusi nel rapporto NIS2 mensile.

Autovalutazione del fornitore (SAQ)

Inviate a ogni fornitore un link tokenizzato al questionario — rispondono a 28 domande mappate NIS2 su governance, controllo degli accessi, risposta agli incidenti, crittografia, continuità e pratiche della supply chain. Le risposte vengono valutate automaticamente e sono visibili nel dashboard accanto ai rilievi tecnici.

Incluso in tutti i piani

Due livelli di evidenza NIS2 — verificati l'uno contro l'altro

Il monitoraggio automatico rileva ciò che i fornitori non dichiarano. Il questionario cattura ciò che gli strumenti non vedono. norppa verifica l'uno rispetto all'altro — ogni attestazione è supportata da evidenze, non presa per fiducia.

Layer 1

Monitoraggio automatizzato — oltre 100 controlli quotidiani

Oltre 100 controlli quotidiani per dominio monitorato — elenchi di vittime di ransomware, fughe di credenziali nel dark web, salute DNS/TLS, preparazione TLS post-quantistica (NIST FIPS 203 ML-KEM), inventario fornitori AI/LLM (EU AI Act), esposizione di endpoint MCP, geolocalizzazione IP, esposizione a violazioni, intestazioni di sicurezza HTTP, rilevamento di modifiche ai siti web, intelligence aziendale e analisi di repository di codice pubblici. Nessun coinvolgimento del fornitore richiesto.

Layer 2

Autovalutazione del fornitore (SAQ)

Inviate a ogni fornitore un link al questionario con un clic. 28 domande in 7 sezioni NIS2 — governance, controllo degli accessi, risposta agli incidenti, crittografia, continuità operativa e altro. Valutato automaticamente, visibile nel dashboard. Inviatelo a ogni fornitore nella sua lingua — disponibile in 8 lingue dell’UE — per tassi di risposta più alti.

Attestazione basata su evidenze

NIS2 Art. 21(2)(d) — Quando un controllo è osservabile dall'esterno, confrontiamo la risposta del fornitore con ciò che vediamo davvero — una scansione TLS pulita verifica un'attestazione 'TLS 1.2+'; vulnerabilità esposte contraddicono un 'applichiamo le patch tempestivamente'. I controlli non osservabili dall'esterno sono chiaramente contrassegnati come attestazione. Non implichiamo mai una verifica che non possiamo dimostrare.

Ogni risposta porta il suo stato: verificata, contraddetta, messa in dubbio o solo attestazione.

Vedete come appare il SAQ →

Progettato per team di sicurezza agili

100+

controlli automatizzati per dominio

Ransomware · Dark web · DNS/TLS · Intelligence aziendale · Repository di codice · Violazioni

quotidiano

frequenza di scansione

Monitoraggio continuo, non uno snapshot periodico

100%

residenza dei dati nell'UE

Finlandia + Germania · GDPR by design

NIS2

articoli mappati automaticamente

Tutti i sottoparagrafi NIS2 Art. 21(2) coperti — mappati e documentati automaticamente

Operativo in cinque minuti. Primo rapporto di conformità nel primo mese.

Aggiungete i vostri fornitori

Inserite il nome dell'azienda e il dominio. L'intera lista di fornitori in 5 minuti — senza integrazioni, chiavi API o progetti IT.

Il monitoraggio inizia immediatamente

Elenchi vittime ransomware, fughe di credenziali dark web, stato dei certificati, registri delle imprese ed esposizione CVE — verificati quotidianamente su tutta la rete di fornitori e il proprio dominio. Nessuna configurazione richiesta.

I rilievi critici generano avvisi immediati

Avviso e-mail entro 24 ore dal rilevamento di un'iscrizione ransomware, esposizione di credenziali dark web o certificato in scadenza entro 14 giorni. Agite sui rischi non appena emergono.

Rapporto mensile di conformità NIS2

Report PDF mensile — ogni rilievo mappato al proprio articolo NIS2, con punteggi di rischio, ranking dei fornitori e sintesi esecutiva generata dall'IA. A supporto dell'audit dal primo mese.

Visualizzate un rapporto di esempio →

Sicurezza NIS2 della supply chain da 249 €/mese — senza complessità enterprise.

Funzionalità	norppa.io
Monitoraggio della supply chain	Incluso
Monitoraggio dark web e infostealer	Quotidiano
Tracciamento delle vittime di ransomware	Quotidiano
Rapporto mappato agli articoli NIS2	PDF mensile
Monitoraggio di certificati e sottodomini	Continuo
Residenza dei dati nell'UE	Sì
Componente aggiuntivo Full Scan	OSINT + controlli HTTP inclusi · Full Scan: componente aggiuntivo
Questionario di autovalutazione del fornitore (SAQ)	Incluso
Intelligence aziendale (registro delle imprese, rilevamento di fallimento)	Incluso
Analisi di repository di codice pubblici (GitHub/GitLab, npm, Docker Hub)	Incluso
Rilevamento rischi identity provider (Entra ID, ADFS, Okta) + punteggio BEC composito	Incluso
Esposizione di strumenti AI/ML e scansione di segreti API LLM	Incluso
Art. 23 — Idoneità alla segnalazione degli incidenti (24h)	Quotidianamente — informato immediatamente
Verifica incrociata delle attestazioni del fornitore con le evidenze di scansione	Automatico

Funzionalità	norppa.io	Strumenti EASM tradizionali	Processo manuale
Monitoraggio della supply chain	Incluso	Non incluso	Foglio di calcolo manuale
Monitoraggio dark web e infostealer	Quotidiano	Non incluso	Non fattibile
Tracciamento delle vittime di ransomware	Quotidiano	Non incluso	Manuale
Rapporto mappato agli articoli NIS2	PDF mensile	Non incluso	Manuale
Monitoraggio di certificati e sottodomini	Continuo	Continuo	Manuale
Residenza dei dati nell'UE	Sì	Parziale	Dipende
Componente aggiuntivo Full Scan	OSINT + controlli HTTP inclusi · Full Scan: componente aggiuntivo	Solo livelli superiori	N/A
Questionario di autovalutazione del fornitore (SAQ)	Incluso	Non incluso	Manuale
Intelligence aziendale (registro delle imprese, rilevamento di fallimento)	Incluso	Parziale	Manuale
Analisi di repository di codice pubblici (GitHub/GitLab, npm, Docker Hub)	Incluso	Non incluso	Non fattibile
Rilevamento rischi identity provider (Entra ID, ADFS, Okta) + punteggio BEC composito	Incluso	Non incluso	Non fattibile
Esposizione di strumenti AI/ML e scansione di segreti API LLM	Incluso	Non incluso	Non fattibile
Art. 23 — Idoneità alla segnalazione degli incidenti (24h)	Quotidianamente — informato immediatamente	Non copre gli incidenti dei fornitori	Impossibile con revisione annuale
Verifica incrociata delle attestazioni del fornitore con le evidenze di scansione	Automatico	Non incluso	Non fattibile

Perché un foglio di calcolo potrebbe non soddisfare NIS2 Art. 21

I questionari annuali dicono cosa un fornitore aveva pianificato di fare — non se i suoi sistemi sono effettivamente sicuri oggi. Lo standard delle 'misure adeguate' previsto da NIS2 difficilmente viene soddisfatto con semplici istantanee annuali.

Basato su confronti di funzionalità disponibili pubblicamente. Soggetto a modifiche.

Non utilizziamo i nomi dei clienti nelle nostre comunicazioni e non chiediamo referenze o casi studio. Ciò che condividete con norppa rimane con voi.

NIS2 è in vigore. Potete dimostrare che la vostra catena di fornitura è sotto controllo — ogni giorno, non una volta all'anno?

La Direttiva UE NIS2 (in vigore da ottobre 2024) obbliga le medie e grandi imprese nei settori critici a gestire attivamente i rischi di cybersecurity nelle proprie supply chain. L'articolo 21(2)(d) impone specificamente misure di sicurezza della supply chain. La non conformità può comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato globale.

Leggi NIS2 Art. 21 →Visualizzate un rapporto di esempio →

Guide pratiche:Chi è coinvolto?Requisito supply chain NIS2 vs DORA

Da 160.000 a 200.000 aziende nell'UE sono direttamente obbligate

Finanza, energia, sanità, trasporti, infrastrutture digitali — NIS2 si applica in tutta l'UE con gli stessi requisiti in ogni Stato membro.

Le valutazioni annuali da sole probabilmente non bastano

Un questionario annuale dice com'erano le cose allora — NIS2 si aspetta che tu dimostri come sono oggi. norppa verifica in modo incrociato le risposte di ogni fornitore con evidenze di scansione in tempo reale, così un'attestazione è supportata da ciò che osserviamo davvero.

In un audit dovete poter dimostrare un monitoraggio continuativo

Le autorità di vigilanza possono richiedere prove concrete della gestione dei rischi — e il management ne è personalmente responsabile. Un questionario annuale è una difesa debole. norppa.io genera automaticamente prove datate a livello di singolo rilievo — ogni giorno, per ogni fornitore.

Una frazione del costo

Monitoraggio continuo di fino a 10 fornitori da 249 €/mese — meno di 25 € per fornitore — a fronte di sanzioni fino a 10 M€ o il 2% del fatturato globale.

Sapere quando un fornitore o il proprio dominio diventa un rischio. Ogni giorno.

Cosa ricevete come abbonati

Monitoraggio automatizzato quotidiano

Avvisi immediati per eventi critici

Report di conformità mensile — pronto all'uso

Verificato, non solo raccolto

Costruito per l’UE — 8 lingue

Vedete i vostri primi rilievi NIS2 oggi.

Principali aree di rischio esterne coperte — esposizione tecnica, dark web, registri delle imprese e vulnerabilità attivamente sfruttate.

Controlli di sicurezza tecnici

Intelligence dark web

Tracciamento delle vittime di ransomware

Certificati e infrastruttura

Monitoraggio di violazioni ed esposizioni

Monitoraggio indirizzi IP

Rilevamento rischi identity provider e BEC

Esposizione di strumenti AI e API LLM

Intelligence aziendale

Preparazione TLS post-quantistica

Esposizione di endpoint MCP / agenti AI

Esportazioni NIS2 + DORA pronte per l'audit

Prove di conformità NIS2

Componente aggiuntivo Full Scan mensile

Autovalutazione del fornitore (SAQ)

Due livelli di evidenza NIS2 — verificati l'uno contro l'altro

Monitoraggio automatizzato — oltre 100 controlli quotidiani

Autovalutazione del fornitore (SAQ)

Operativo in cinque minuti. Primo rapporto di conformità nel primo mese.

Aggiungete i vostri fornitori

Il monitoraggio inizia immediatamente

I rilievi critici generano avvisi immediati

Rapporto mensile di conformità NIS2

Sicurezza NIS2 della supply chain da 249 €/mese — senza complessità enterprise.

NIS2 è in vigore. Potete dimostrare che la vostra catena di fornitura è sotto controllo — ogni giorno, non una volta all'anno?

Da 160.000 a 200.000 aziende nell'UE sono direttamente obbligate

Le valutazioni annuali da sole probabilmente non bastano

In un audit dovete poter dimostrare un monitoraggio continuativo

Una frazione del costo

Domande frequenti

A chi è destinato norppa.io?

Cosa include il monitoraggio della supply chain?

Come funziona la reportistica di conformità NIS2?

Posso aggiungere altri fornitori in seguito?

Dove vengono archiviati i miei dati?

Quali sono i termini di fatturazione?

È legale monitorare i nostri fornitori senza il loro consenso?

Come sapete che le risposte al questionario di un fornitore sono accurate?